Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 1 de mayo de 2009

Campaña de propagación del scareware MalwareRemovalBot

Registrar varios dominios en una misma dirección IP, es una de las metodologías más explotadas para la propagación de programas scareware ya que le permite un coherente posicionamiento web, poco ético dicho sea de paso, ampliando el horizonte de posibilidades de que algún desesperado usuario llegue hasta la web que promete, a través de su falso producto, solucionar de manera mágica sus problemas y/o implementar una supuesta capa de seguridad a su equipo ante potenciales infecciones.

Evidentemente, el scareware (o rogue) como cualquiera de los códigos maliciosos actuales se suma a la organización delictiva que representan como parte activa y que constantemente buscan obtener beneficios económicos, en muchos casos formando parte de paquetes crimeware como es el caso de Unique Sploits Pack, que incorpora un módulo para la propagación de scareware.

En este caso, se trata del scareware MalwareRemovalBot, que si bien no es nada nuevo, actualmente se encuentra manifestándose a través de diferentes nombres de dominios alojados bajo la misma dirección IP (174.132.250.194). Seguramente empleando servidores virtuales.

Algunos de los dominios involucrados en esta campaña son:

antivirus360remover .com
av360removaltool .com
malwarebot .org
malwaree .com
malwaree .org
remove-a360 .com
remove-antivirus-360 .com
remove-av360 .com
remove-ie-security .com
remove-malware-defender .com
remove-personal-defender .com
remove-spyware-guard .com
remove-spyware-protect-2009 .com
remove-spyware-protect .com
remove-system-guard .com
remove-total-security .com
remove-ultra-antivir-2009 .com
remove-ultra-antivirus-2009 .com
remove-virus-alarm .com
remove-virus-melt .com
remove-winpc-defender .com
smitfraudfixtool .com
vundofixtool .com
www.antivirus360remover .com
www.av360removaltool .com
www.malwarebot .org
www.malwaree .com
www.malwaree .org
www.remove-a360 .com
www.remove-antivirus-360 .com
www.remove-av360 .com
www.remove-ie-security .com
www.remove-ms-antispyware .com
www.remove-personal-defender .com
www.remove-spyware-guard .com
www.remove-spyware-protect-2009 .com
www.remove-spyware-protect .com
www.remove-system-guard .com
www.remove-total-security .com
www.remove-ultra-antivir-2009 .com
www.remove-ultra-antivirus-2009 .com
www.remove-virus-alarm .com
www.remove-virus-melt .com
www.remove-winpc-defender .com
www.vundofixtool .com


El archivo ejecutable de la amenaza (MD5: 08a0b7b100567eb5a1373eb4607d5b24) tiene como nombre setupxv.exe, y posee un bajo índice de detección. Sólo 11 de 39 compañías antivirus lo detectan :(

Este binario es sólo una cápsula que contiene las otras piezas del malware como los ejecutables que le permiten su ejecución en plataformas Microsoft de 32-bits y 64-bits, dependiendo el caso. Alguno de los archivos son:
  • MalwareRemovalBot64.msi - 0/40 (0%) (MD5: 708149179e0f18304413edd56d16fa48)
  • MalwareRemovalBot.msi - 0/40 (0.00%) (MD5: e1a1c6175d65ab6be8d5f5cbc85a4ca6)
  • MSIStart.exe - 7/40 (17.50%) (MD5: 3de82388a6e799446bada69b6a08dc9e)
  • zlib.dll - 2/40 (5%) (MD5: 81ac3f43a5b07d202b5723145d3d88f9)
  • TCL.dll - 5/40 (12.5%) (MD5: 2a4a0083d63d44374a64a27974eea789)
  • SpyCleaner.dll - 13/40 (32.5%) (MD5: 1ca00d4ef4319c9cd454397e5659600b)
  • MalwareRemovalBot.srv.exe - 3/40 (7.50%) (MD5: 852f708466a5b74556b69c536d3add7e)
  • MalwareRemovalBot.exe - (MD5: 25166bb5d2629cb6dfb9ac6143b88f00)
En muchos otros casos, el scareware hace uso de otras técnicas de propagación y engaño que no pasan de moda y se encuentran presentes como estrategia innata de cualquier malware actual, o hacen uso (cada vez más) de técnicas SEO Black Hat, y un par de etcéteras más.

Información relacionada

Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Estrategia de infección agresiva de XP Police Antivirus. Segunda parte
Estrategia de infección agresiva de XP Police Antivirus
AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro
Nueva estrategia de IS para diseminar scareware


# pistus

Ver más